Wie (un)sicher ist Cloud-Nutzung denn nun?

Pfefferminzia: Welche Arten von Cloud-Diensten gibt es aktuell überhaupt?

Nikolaus Stapels: Generell kann bei Cloud-Diensten zunächst zwischen angebotenem Service und Art der „Lieferung“ der Dienstleistung differenziert werden. Um jedoch hier tiefer einzusteigen, möchte ich den grundsätzlichen Aufbau eines Cloud-Servers anhand eines Beispiels erklären. Den Server kann man sich als Bürogebäude mit mehreren Etagen vorstellen. Der Kunde mietet sich in diesem Beispiel ein 100 Quadratmeter großes Büro in der dritten Etage. Darin steht den Mietern die gesamte Infrastruktur wie Strom, Wasser, ein Aufzug, ein Wachdienst und Ähnliches zur Verfügung. Analog ist ein Cloud-Server aufgebaut. Er bietet ebenfalls eine Infrastruktur für seine Nutzer an.

Wie sehen die von Ihnen angesprochenen Servicemodelle aus?

Bei Cloud-Diensten unterscheiden wir zwischen drei verschiedenen Servicemodellen. Da wäre erstens das Modell Software-as-a-Service (SaaS) zu nennen. Hier kann der Nutzer aus verschiedenen Software-Bausteinen auswählen. Die zweite Variante Platform-as-a-Service (PaaS) wird vorwiegend bei der Entwicklung eigener Software genutzt. Und zu guter Letzt gibt es noch den Service Infrastructure-as-a-Service (IaaS), bei dem der Nutzer auf Hardware zurückgreifen kann. Die verwendete Software kann er selbst “mitbringen“. Die Servicemodelle der Variante eins und drei zählen zu den gängigsten. Auf unser Beispiel mit dem Bürogebäude übertragen heißt das: Bei SaaS mietet der Nutzer ein komplett eingerichtetes Büro, inklusive Tische, Stühle und Technik. Im Falle von IaaS erhalten Sie den Schlüssel zu einem leeren Büro und können selbst entscheiden, wie es eingerichtet werden soll.

Und wonach können Cloud-Dienste noch unterschieden werden?

Nach der Art der Nutzung. Hier gibt es mehrere Ansätze wie Public, Private, Hybrid und Serverless. Die beiden häufigsten Cloud Computing-Dienste sind Public Cloud und Private Cloud. Der erste Dienst steht einer breiten Öffentlichkeit zur Verfügung, der zweite nur einem Unternehmen oder einer Organisation. Auch hier am Beispiel des Bürogebäudes verdeutlicht: Im ersten Fall haben Sie ein Büro in einem Bürogebäude gemietet, in dem es noch weitere Mieter gibt. Im zweiten Fall mieten Sie das komplette Gebäude und nur die eigenen Mitarbeiter bewegen sich innerhalb des Hauses.

Wo liegen die Stärken von Cloudlösungen?

Die größte Stärke von Cloudlösungen liegt in der räumlichen Trennung der Daten vom Unternehmensstandort. Denn ist der Server eines Unternehmens beispielsweise im Keller eines Büros installiert, besteht immer die Gefahr, dass er durch einen Brand, Blitzschlag, Einbruch oder Ähnliches beschädigt oder dass er sogar entwendet wird. Wenn diese Dienstleistung extern eingekauft wird, entfallen zudem die Kosten für Anschaffung und Wartung.

Und wie lauten die Schwächen?

Eine Schwäche, die aber weniger beim Clouddienst an sich liegt, sondern vielmehr bei den Nutzern der Cloud, ist die unzureichende Kenntnis der Anwender zum Thema Haftung. Viele Unternehmen, die ihre Datenspeicherung in eine Cloud ausgelagert haben, sind sich nicht darüber im Klaren, dass sie weiterhin für die Einhaltung des Datenschutzes gemäß Datenschutzgrundverordnung (DSGVO) und der IT-Sicherheit verantwortlich sind.

Und wie sieht es bei Cyberangriffen aus?

Das Cyber-Gefahrenpotenzial für Unternehmen ergibt sich in den meisten Fällen durch Angriffe auf das Unternehmen selbst, zum Beispiel durch Schadsoftware in Mailanhängen. Cyber-Kriminelle gelangen so zu Zugangsberechtigungen, mit denen sie in die Cloud eindringen können, um Daten zu stehlen.

Wie kann man sich solch einen Angriff vorstellen?

Viele Unternehmer gehen bei der Anmietung einer Cloud fälschlicherweise davon aus, dass ihnen der gesamte Cloudserver gehört. Tatsächlich nutzen viele Unternehmen häufig einen virtuellen Server. Sie teilen sich diesen – und damit dessen Infrastruktur – mit vielen anderen Nutzern, genauso wie im bereits beschriebenen Bürogebäude. Das kann dazu führen, dass über die gemeinsame Infrastruktur das eigene Unternehmen gehackt wird. Ein Krimineller könnte, wieder bildlich gesprochen, statt in den vierten in den dritten Stock fahren und in das Büro eindringen.

Worauf sollten Unternehmen achten, wenn sie Daten in Clouds speichern?

Cloudnutzer müssen sich vor allem stets bewusst sein, dass sie die rechtliche Verantwortung nicht an den Cloudservice abgeben können. Als Auftraggeber sind sie für einen Datenmissbrauch in der rechtlichen Verantwortung und damit haftbar. Ein Kunde wird sich, wenn beispielsweise seine Daten im Darknet gehandelt werden, immer erst an das Unternehmen wenden, um seine Ansprüche geltend zu machen.

Wie kann ein gewisser Schutz gewährleistet werden?

Wichtig ist, dass es eine verschlüsselte Übertragung und Speicherung gibt. Auch ein Berechtigungskonzept ist sinnvoll, damit nicht jeder Mitarbeiter oder jede Mitarbeiterin auf alle Daten zugreifen kann. Zudem sollte der Cloudanbieter über verschiedene Zertifizierungen verfügen. Dazu gehören unter anderem die ISO/IEC 27001 und die DIN EN ISO 50001.

Cyberangriffe nehmen immer weiter zu. Die Versicherer reagieren darauf mit Cyberversicherungen. Was hat sich aus Ihrer Sicht in den vergangenen zwei Jahren in diesem Markt verändert?

Aus meiner Sicht haben sich die Versicherer immer mehr angenähert, die Leistungen sind vergleichbarer geworden. Viele Anbieter sind gleichwohl noch dabei, den Markt für sich zu erschließen. Dies zeigt sich unter anderem darin, dass auch nach hohen Schäden die Prämien nicht erhöht werden, sondern lieber mit Sublimits gearbeitet wird.

Und wie sieht es auf Vertriebsseite aus?

Da hakt es noch. Viele Unternehmen sind bereits durch die Medien oder Vorfälle im persönlichen Umfeld sensibilisiert und befassen sich inzwischen mehr mit dem Thema Cybersicherheit als mancher Berater. Viele scheuen sich immer noch, das Thema bei ihren Kunden anzusprechen. Sie befürchten, auf Fragen nicht gut genug eingehen zu können – ihnen fehlt schlichtweg das entsprechende Wissen sowie das Verständnis.

Mehr zum Thema

Digitalisierung

So klappt es mit der Online-Beratung

Streit um Betriebsschliessungen

Erste Hotels und Gaststätten reichen Klagen gegen Versicherer ein

Prozessoptimierung

Wie funktioniert eigentlich Dunkelverarbeitung?

Digitalisierung

So klappt es mit der Online-Beratung

Streit um Betriebsschliessungen

Erste Hotels und Gaststätten reichen Klagen gegen Versicherer ein

Prozessoptimierung

Wie funktioniert eigentlich Dunkelverarbeitung?

Wie kann eine Cyberversicherung helfen, wenn ein Cloud-Dienst und damit vielleicht die eigenen dort gespeicherten Daten Opfer eines Hackerangriffs wurde?

Die Cyberversicherung wird immer mehr zum Instrument des Krisenmanagements im Schadensfall. Denn dann muss alles sehr schnell gehen. Daher setzen die Versicherer immer mehr auf Assistance-Leistungen: je schneller am Anfang gearbeitet wird, umso geringer ist in der Regel am Ende der Schaden.

Muss jedes Unternehmen mit einem Angriff rechnen?

Ja, die Größe eines Unternehmens ist längst kein Anhaltspunkt mehr dafür, ob es Cyberkriminelle angreifen oder nicht. Die Auswahl erfolgt eher nach dem Zufallsprinzip. Ein Trojaner beispielsweise wird automatisiert per E-Mail versendet. Daher kann so ein Virus jeden treffen. Zudem ist davon auszugehen, dass sich mit einer neuen Trojaner-Generation in absehbarer Zeit noch einiges mehr massiv ändern wird. Diese neue Generation verschlüsselt Daten nicht nur, sondern kopiert sie vorab auf die Server der Kriminellen. Das bedeutet, die Unternehmen müssen zukünftig mit mehr Kosten nach einem Cyberangriff rechnen. Grund: Neben der eigentlichen Attacke kommt die DSGVO zum Tragen.